网络安全基础知识培训-天融信.ppt

《网络安全基础知识培训-天融信.ppt》由会员分享，可在线阅读，更多相关《网络安全基础知识培训-天融信.ppt（139页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、北京天融信公司北京天融信公司北京天融信公司北京天融信公司 课程模块课程模块Module 1:网络安全概述网络安全概述Module 2:我们眼中的网络安全我们眼中的网络安全Module 3:网络安全技术产品及功能介绍网络安全技术产品及功能介绍Module 1:网络安全概述网络安全概述什么是安全？什么是安全？安全安全一种能够识别和消除不安全因素的能力一种能够识别和消除不安全因素的能力一种能够识别和消除不安全因素的能力一种能够识别和消除不安全因素的能力安全是一个持续的过程安全是一个持续的过程安全是一个持续的过程安全是一个持续的过程网络安全是网络系统的硬件、软件及其系统中网络安全是网络系统的硬件、软件

2、及其系统中网络安全是网络系统的硬件、软件及其系统中网络安全是网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因的数据受到保护，不因偶然的或者恶意的原因的数据受到保护，不因偶然的或者恶意的原因的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常而遭到破坏、更改、泄露，系统连续可靠正常而遭到破坏、更改、泄露，系统连续可靠正常而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断地运行，网络服务不中断地运行，网络服务不中断地运行，网络服务不中断一一)非授权访问非授权访问1.没有经过同意，就使用网络或计算机资源。没有经过同意，就使用网络或计算机资

3、源。如有意避开系统访问控制机制，对网络设备如有意避开系统访问控制机制，对网络设备及资源进行非正常使用。及资源进行非正常使用。2.或擅自扩大权限，越权访问信息。或擅自扩大权限，越权访问信息。形式形式:假冒、身份攻击、非法用户进入网络系假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权统进行违法操作、合法用户以未授权方式进行操作等。方式进行操作等。安全威胁安全威胁二二)信息泄露信息泄露1.敏感数据在有意或无意中被泄漏出去敏感数据在有意或无意中被泄漏出去。信息信息在传输中丢失或泄漏（电磁泄漏或搭线窃在传输中丢失或泄漏（电磁泄漏或搭线窃听；对信息流向、流量、通信频度和长度听；对信息流向

4、、流量、通信频度和长度等参数的分析，推出有用信息；猜测用户等参数的分析，推出有用信息；猜测用户口令、帐号等重要信息。）口令、帐号等重要信息。）2.信息在存储介质中丢失或泄漏。信息在存储介质中丢失或泄漏。通过建立隐蔽通道等窃取敏感信息等。通过建立隐蔽通道等窃取敏感信息等。安全威胁安全威胁三三)破坏数据完整性破坏数据完整性1.以非法手段窃得对数据的使用权，删除、以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得修改、插入或重发某些重要信息，以取得有益于攻击者的响应；有益于攻击者的响应；2.恶意添加，修改数据，以干扰用户的正常恶意添加，修改数据，以干扰用户的正常使用。使用。安全

5、威胁安全威胁四四)拒绝服务攻击拒绝服务攻击1.不断对网络服务系统进行干扰，改变其正不断对网络服务系统进行干扰，改变其正常的作业流程。常的作业流程。2.执行无关程序使系统响应减慢甚至瘫痪，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得排斥而不能进入计算机网络系统或不能得到相应的服务。到相应的服务。安全威胁安全威胁五五)利用网络传播病毒利用网络传播病毒 通过网络传播计算机病毒，其破坏性大大通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。高于单机系统，而且用户很难防范。六六)假冒假冒

6、 假冒合法身份破坏正常工作。假冒合法身份破坏正常工作。七七)抵赖抵赖 否认接收过或发送过信息。否认接收过或发送过信息。安全威胁安全威胁为什么我们不能杜绝攻击事件的发生为什么我们不能杜绝攻击事件的发生为什么我们不能杜绝攻击事件的发生为什么我们不能杜绝攻击事件的发生日趋精密的攻击以及以日趋精密的攻击以及以INTERNET为基础为基础的技术快速发展的技术快速发展符合的符合的IT技术人员和资金的缺乏而不能获得技术人员和资金的缺乏而不能获得更多的资源更多的资源没有对被保护的系统大量的充分的快速的没有对被保护的系统大量的充分的快速的部署部署没有绝对的安全没有绝对的安全开放最少服务提供最小权限原则开放最少服

7、务提供最小权限原则安全需求平衡安全需求平衡过分繁杂的安全政策将导致比没有安全过分繁杂的安全政策将导致比没有安全政策还要低效的安全。政策还要低效的安全。需要考虑一下安全政策给合法用户带来需要考虑一下安全政策给合法用户带来的影响在很多情况下如果你的用户所感的影响在很多情况下如果你的用户所感受到的不方便大于所产生的安全上的提受到的不方便大于所产生的安全上的提高，则执行的安全策略是实际降低了你高，则执行的安全策略是实际降低了你公司的安全有效性。公司的安全有效性。建立一个有效的安全矩阵建立一个有效的安全矩阵建立一个有效的安全矩阵建立一个有效的安全矩阵安全距阵安全距阵一个安全矩阵由单个操作系统安全特征、一

8、个安全矩阵由单个操作系统安全特征、一个安全矩阵由单个操作系统安全特征、一个安全矩阵由单个操作系统安全特征、日志服务和其他的装备包括防火墙，入侵日志服务和其他的装备包括防火墙，入侵日志服务和其他的装备包括防火墙，入侵日志服务和其他的装备包括防火墙，入侵检测系统，审查方案构成。检测系统，审查方案构成。检测系统，审查方案构成。检测系统，审查方案构成。安全矩阵系统最主要的几个方面安全矩阵系统最主要的几个方面 允许访问控制允许访问控制允许访问控制允许访问控制容易使用容易使用容易使用容易使用合理的花费合理的花费合理的花费合理的花费灵活性和伸缩性灵活性和伸缩性灵活性和伸缩性灵活性和伸缩性优秀的警报和报告优秀

9、的警报和报告优秀的警报和报告优秀的警报和报告保护资源保护资源终端用户资源终端用户资源终端用户资源终端用户资源 The workstations used by employeesThe workstations used by employees 威胁威胁威胁威胁 :Viruses,trojansViruses,trojans,Active X,applet,Active X,applet网络资源网络资源网络资源网络资源 Routers,switches,wiring closets,telephonyRouters,switches,wiring closets,telephony 威胁威胁

10、威胁威胁:IP spoofing,system snooping:IP spoofing,system snooping服务器资源服务器资源服务器资源服务器资源 DNS,WEB,Email,FTP DNS,WEB,Email,FTP 等服务器等服务器等服务器等服务器 威胁威胁威胁威胁:Unauthorized entry,D.O.S,:Unauthorized entry,D.O.S,trojanstrojans信息存储资源信息存储资源信息存储资源信息存储资源 Human resources and e-commerce databasesHuman resources and e-comme

11、rce databases 威胁威胁威胁威胁:Obtaining trade secrets,customer data:Obtaining trade secrets,customer data黑客的分类黑客的分类偶然的破坏者偶然的破坏者坚定的破坏者坚定的破坏者间谍间谍安全基本元素安全基本元素审计审计审计审计管理管理管理管理加密加密加密加密访问控制访问控制访问控制访问控制用户验证用户验证用户验证用户验证安全策略安全策略安全策略安全策略安全策略安全策略建立一个有效的安全策略建立一个有效的安全策略为你的系统分类为你的系统分类 指定危险因数指定危险因数 确定每个系统的安全优先级确定每个系统的安全优

12、先级 定义可接受和不可接受的活动定义可接受和不可接受的活动 决定在安全问题上如何教育所有员工决定在安全问题上如何教育所有员工 确定谁管理你的政策确定谁管理你的政策 加密类型加密类型 1.对称加密对称加密2.非对称加密非对称加密3.Hash加密加密加密加密认证方法认证方法1.证明你知道什么证明你知道什么2.出示你拥有的出示你拥有的3.证明你是谁证明你是谁4.鉴别你在哪里鉴别你在哪里认证认证Kerberos Kerberos系统是美国麻省理工学院为系统是美国麻省理工学院为Athena工程而设计的，为分布式计算环境提工程而设计的，为分布式计算环境提供一种对用户双方进行验证的认证方法供一种对用户双方进

13、行验证的认证方法One-time passwords(OPT)为了解决固定口令的诸多问题，安全专家为了解决固定口令的诸多问题，安全专家提出了一次性口令的密码体制，以保护关键的提出了一次性口令的密码体制，以保护关键的计算资源计算资源特殊的认证技术特殊的认证技术访问控制列表访问控制列表(ACL)执行控制列表执行控制列表(ECL)访问控制访问控制被动式审计被动式审计主动式审计主动式审计 1.结束一个登陆会话结束一个登陆会话 2.拒绝某些主机的访问拒绝某些主机的访问 3.跟踪非法活动的源位置跟踪非法活动的源位置审计审计增加了复杂性增加了复杂性 不得不培训用户如何使用你需要的安全机制不得不培训用户如何使

14、用你需要的安全机制降低了系统响应时间降低了系统响应时间 认证，审计和加密机制会降低系统性能认证，审计和加密机制会降低系统性能安全的权衡考虑和缺点安全的权衡考虑和缺点网络安全问题增长趋势网络安全问题增长趋势Internet 技术飞速发展技术飞速发展有组织的网络攻击有组织的网络攻击企业内部安全隐患企业内部安全隐患有限的安全资源和管理专有限的安全资源和管理专家家 财政损失财政损失知识产权损失知识产权损失时间消耗时间消耗由错误使用导致的生由错误使用导致的生产力消耗产力消耗责任感下降责任感下降内部争执内部争执网络攻击后果网络攻击后果可见的网络攻击影响可见的网络攻击影响可见的网络攻击影响可见的网络攻击影响

15、利润利润利润利润攻击发生攻击发生攻击发生攻击发生(财政影响财政影响财政影响财政影响)Q1 Q2 Q3 Q4网络安全风险网络安全风险安全需求和实际操作脱离安全需求和实际操作脱离 内部的安全隐患内部的安全隐患动态的网络环境动态的网络环境有限的防御策略有限的防御策略安全策略和实际执行之间的巨大差异安全策略和实际执行之间的巨大差异针对网络通讯层的攻击针对网络通讯层的攻击通讯通讯&服务层服务层 TCP/IP TCP/IP IPX IPX X.25 X.25 Ethernet Ethernet FDDI FDDI Router Configurations Router Configurations Hu

16、bs/Switches Hubs/SwitchesDMZDMZ E-MailE-Mail File Transfer File Transfer HTTP HTTPIntranetIntranet 企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继调制解调器调制解调器通讯&服务层弱点超过超过1000个个TCP/IP服务安全漏洞服务安全漏洞:Sendmail,FTP,NFS,File Sharing,Netbios,NIS,Telnet,Rlogin,等等.错误的路由配置错误的路由配置 TCP/IP中不健全的安全连接检查机制中不健全的

17、安全连接检查机制 缺省路由帐户缺省路由帐户 反向服务攻击反向服务攻击 隐蔽隐蔽 ModemDMZDMZ E-Mail E-Mail File Transfer File Transfer HTTP HTTPIntranetIntranet企业网络企业网络生产部生产部生产部生产部工程部工程部工程部工程部市场部市场部市场部市场部人事部人事部人事部人事部路由路由路由路由InternetInternet中继中继针对操作系统的攻击针对操作系统的攻击操作系统操作系统 UNIXUNIX Windows Windows Linux Linux FreebsdFreebsd Macintosh Macintos

18、h Novell Novell操作系统的安全隐患操作系统的安全隐患 1000个以上的商用操作系统安全漏洞个以上的商用操作系统安全漏洞 没有及时添加安全补丁没有及时添加安全补丁 病毒程序的传播病毒程序的传播 文件文件/用户权限设置错误用户权限设置错误 默认安装的不安全设置默认安装的不安全设置 缺省用户的权限和密码口令缺省用户的权限和密码口令 用户设置过于简单密码使用用户设置过于简单密码使用 特洛依木马特洛依木马DMZDMZ E-Mail E-Mail File Transfer File Transfer HTTP HTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部

19、市场部市场部人事部人事部路由路由InternetInternet中继中继针对应用服务的攻击针对应用服务的攻击应用服务程序应用服务程序 WebWeb服务器服务器服务器服务器 数据库系统数据库系统数据库系统数据库系统 内部办公系统内部办公系统内部办公系统内部办公系统 网络浏览器网络浏览器网络浏览器网络浏览器 ERP ERP 系统系统系统系统 办公文件程序办公文件程序办公文件程序办公文件程序 FTP SMTP POP3FTP SMTP POP3SAP R/3SAP R/3OracleOracle应用程序服务的攻击弱点Web 服务器服务器:错误的错误的Web目录结目录结构构 CGI脚本缺陷脚本缺陷 W

20、eb服务器应用程服务器应用程序缺陷序缺陷 私人私人Web站点站点 未索引的未索引的Web页页 数据库数据库:危险的数据库读取危险的数据库读取删删 除操作除操作路由器路由器:源端口源端口/源路由源路由 其他应用程序其他应用程序:Oracle,SAP,Peoplesoft 缺省缺省帐户帐户 有缺陷的浏览器有缺陷的浏览器DMZDMZ E-Mail E-Mail File Transfer File Transfer HTTP HTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继额外的不安全因素额外的不

21、安全因素外部个体外部个体外部外部/组织组织内部个体内部个体内部内部/组织组织网络的普及使学习网络进攻变得容易网络的普及使学习网络进攻变得容易全球超过全球超过26万个黑客站点提供系统漏洞和万个黑客站点提供系统漏洞和攻击知识攻击知识越来越多的容易使用的攻击软件的出现越来越多的容易使用的攻击软件的出现国内法律制裁打击力度不够国内法律制裁打击力度不够典型的攻击方式及安全规则典型的攻击方式及安全规则字典攻击和暴力破解法字典攻击和暴力破解法BUG和后门和后门社会工程和非直接攻击社会工程和非直接攻击字典攻击和暴力攻击字典攻击和暴力攻击暴力程序攻击暴力程序攻击所有能够可以被穷举的资源都可以成为所有能够可以被穷

22、举的资源都可以成为暴力破解的目标暴力破解的目标邮箱密码破解邮箱密码破解流光流光4.7Bugs 和后门和后门缓冲区溢出缓冲区溢出Buffer Overflow后门后门Root kits社会工程和非直接攻击社会工程和非直接攻击打电话请求密码打电话请求密码伪造电子邮件伪造电子邮件拒绝服务攻击拒绝服务攻击To crash a server and make it unusableMasquerade the identity of the attacked system Viruses,bugs and service flaws八项安全实施建议八项安全实施建议成为一个安全的偏执狂成为一个安全的偏执狂

23、完整的安全策略完整的安全策略不要采取单独的系统或技术不要采取单独的系统或技术部署公司范围的强制策略部署公司范围的强制策略八项安全实施建议八项安全实施建议提供培训提供培训终端用户终端用户 管理员管理员 经理经理根据需要购置安全设备根据需要购置安全设备识别安全的商业问题识别安全的商业问题考虑物理安全考虑物理安全Module 2:我们眼中的网络安全我们眼中的网络安全不安全的不安全的安全的安全的安全策略安全策略安全策略安全策略实际安全到达标准实际安全到达标准安全间隙安全间隙未知的安全间隙不容忽视未知的安全间隙不容忽视DMZDMZ E-MailE-Mail File Transfer File Tran

24、sfer HTTP HTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继部署安全保卫措施部署安全保卫措施防火墙的能力有限防火墙的能力有限防火墙的能力有限防火墙的能力有限外部外部/个体个体外部外部/组织组织内部内部/个体个体内部内部/组织组织安安安安 全全全全 隐隐隐隐 患患患患DMZDMZ E-Mail E-Mail File Transfer File Transfer HTTP HTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由I

25、nternetInternet中继中继尚不了解实际的危机尚不了解实际的危机实际安全问题还有实际安全问题还有实际安全问题还有实际安全问题还有很多很多很多很多外部外部外部外部/个体个体个体个体外部外部外部外部/组织组织组织组织内部内部内部内部/个体个体个体个体内部内部内部内部/组织组织组织组织安安安安 全全全全 隐隐隐隐 患患患患DMZDMZ?E-Mail?E-Mail?File Transfer?File Transfer?HTTP?HTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继管理分析管理

26、分析&实施策略实施策略安安安安 全全全全 隐隐隐隐 患患患患外部外部/个体个体外部外部/组织组织内部内部/个体个体内部内部/组织组织关闭安全维护关闭安全维护“后门后门”更改缺省的更改缺省的系统口令系统口令添加所有添加所有操作系统操作系统PatchModem数据文件加密数据文件加密安装认证安装认证&授权授权用户安全培训用户安全培训授权复查授权复查入侵检测入侵检测实时监控实时监控进进进进不不不不来来来来拿拿拿拿不不不不走走走走改改改改不不不不了了了了跑跑跑跑不不不不了了了了看看看看不不不不懂懂懂懂信息安全的目的信息安全的目的可可可可审审审审查查查查信信 息息 安安 全全 体体 系系鉴鉴鉴鉴别别别别

27、加加加加密密密密访访访访问问问问控控控控制制制制安安安安全全全全管管管管理理理理病病病病毒毒毒毒防防防防范范范范数数数数字字字字签签签签名名名名链链链链路路路路加加加加密密密密机机机机IPIPIPIP协协协协议议议议加加加加密密密密机机机机邮邮邮邮件件件件加加加加密密密密文文文文件件件件加加加加密密密密防防防防火火火火墙墙墙墙远远远远程程程程用用用用户户户户鉴鉴鉴鉴别别别别系系系系统统统统防防防防病病病病毒毒毒毒软软软软件件件件防防防防病病病病毒毒毒毒制制制制度度度度密密密密钥钥钥钥管管管管理理理理网网网网络络络络监监监监视视视视审审审审计计计计系系系系统统统统信信信信息息息息检检检检查查查查

28、系系系系统统统统代代代代理理理理服服服服务务务务器器器器远远远远程程程程用用用用户户户户鉴鉴鉴鉴别别别别系系系系统统统统信息系统使命信息系统使命信息系统建模，。信息系统建模，。GB 18336 idt ISO/IEC 15408信息技术安全性评估准则信息技术安全性评估准则IATF 信息保障技术框架信息保障技术框架ISSE 信息系统安全工程信息系统安全工程SSE-CMM系统安全工程能力成熟度模型系统安全工程能力成熟度模型BS 7799,ISO/IEC 17799信息安全管理实践准则信息安全管理实践准则其他相关标准、准则其他相关标准、准则例如：例如：ISO/IEC 15443,COBIT。系统认证

29、和认可标准和实践系统认证和认可标准和实践例如：美国例如：美国DITSCAP,中国信息安全产品测评认证中心中国信息安全产品测评认证中心相关文档和系统测评认证实践相关文档和系统测评认证实践技术准则技术准则（信息技术系统评估准则）（信息技术系统评估准则）管理准则管理准则（信息系统管理评估准则）（信息系统管理评估准则）过程准则过程准则（信息系统安全工程评估准则）（信息系统安全工程评估准则）信信息息系系统统安安全全性性评评估估准准则则组织组织管理管理技术技术保障保障基础基础设施设施产业产业支撑支撑人材人材培养培养环境环境建设建设国家信息安全保障体系框架国家信息安全保障体系框架19941994年，年，年，

30、年，中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例第二章安全保护制第二章安全保护制第二章安全保护制第二章安全保护制部分规定：部分规定：部分规定：部分规定：“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。的具体办法，由公安部会同有关部门制定

31、。的具体办法，由公安部会同有关部门制定。的具体办法，由公安部会同有关部门制定。”计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则GB17859-1999GB17859-1999（技术法规）规定：技术法规）规定：技术法规）规定：技术法规）规定：国家对信息系统实行五级保护。国家对信息系统实行五级保护。国家对信息系统实行五级保护。国家对信息系统实行五级保护。国家信息化领导小组关于加强信息安全保障工作的意见国家信息化领导小组关于加强信息安全保障工作的意见国家信息化领导小组关于加强信息安全保障工作的意见国家信息化领导

32、小组关于加强信息安全保障工作的意见重点强调：重点强调：重点强调：重点强调：实行信息安全等级保护制度，重点保护基础信息网络和重要信息系统。实行信息安全等级保护制度，重点保护基础信息网络和重要信息系统。实行信息安全等级保护制度，重点保护基础信息网络和重要信息系统。实行信息安全等级保护制度，重点保护基础信息网络和重要信息系统。等级化保护的政策依据等级化保护的政策依据等级化标准渊源等级化标准渊源TCSEC1985UKConfidence Levels1989GERMANCriteriaFRENCHCriteriaCTCPEC1993ITSEC1991FC1993CCV1.0 1996V2.0 1998

33、V2.1 1999ISO/IEC15408-1999GB/T18336-2001GB 17859-1999GB 17859衍生衍生标标准准GA/T 390 计算机信息系统安全等级保护通用技术要求GA/T 388 计算机信息系统安全等级保护操作系统技术要求GA/T 389 计算机信息系统安全等级保护数据库管理系统技术要求GA/T 387 计算机信息系统安全等级保护网络技术要求GA/T 391 计算机信息系统安全等级保护管理要求GB/T 18336衍生衍生标标准准GB/T 18019 包过滤防火墙安全技术要求GB/T 18018 路由器安全技术要求GB/T 18020 应用级防火墙安全技术要求GB

34、/T 17900 网络代理服务器的安全技术要求等级化衍生标准等级化衍生标准网络系统现状网络系统现状网络系统现状网络系统现状潜在的安全风险潜在的安全风险潜在的安全风险潜在的安全风险安全需求与目标安全需求与目标安全需求与目标安全需求与目标安全体系安全体系安全体系安全体系安全解决方案安全解决方案安全解决方案安全解决方案分析后得出分析后得出分析后得出分析后得出提提出出依 照 风 险 制 定 出依 照 风 险 制 定 出进行进行安全集成安全集成安全集成安全集成 /应用开发应用开发应用开发应用开发安全服务安全方案设计安全方案设计安全方案设计安全方案设计建立相应的网络安全整体设计流程网络安全整体设计流程VP

35、N 虚拟专用网虚拟专用网防火墙防火墙内容检测内容检测防病毒防病毒入侵检测入侵检测Module 3:安全技术产品及功能介绍安全技术产品及功能介绍需要的安全技术产品需要的安全技术产品CA安全身份认证体系安全身份认证体系防火墙技术防火墙技术/VPN技术技术防病毒体系防病毒体系入侵检测技术入侵检测技术网络安全评估系统网络安全评估系统安全备份和系统灾难恢复安全备份和系统灾难恢复身份鉴别身份鉴别 基于口令、用户名的身份认基于口令、用户名的身份认 基于主体特征的身份认证：如指纹基于主体特征的身份认证：如指纹 基于基于IC卡卡+PIN号码的认证号码的认证 基于基于CA证书的身份认证证书的身份认证 其他的认证方

36、式其他的认证方式基于口令、用户名的身份认证基于口令、用户名的身份认证UsernamePasswordPermissionroot!#4RAdmin3458rR Wwebmaste234R Edd2342R W EServer End user Username=rootPassword=!#$发起访问请求基于口令、用户名的简单身份鉴别验证用户名与口令回应访问请求，允许访问验证通过基于主体特征的身份认证基于主体特征的身份认证UsernameFeaturePermissionRootSdffRAdmin8990R WWeb8668R Eftp8965R W EServer Workstation

37、传送特征信息 发起访问请求基于主体特征的身份鉴别验证用户特征信息回应访问请求，允许访问验证通过指纹识别器读取特征信息获得特征信息基于基于IC卡卡+PIN号码的认证号码的认证UsernameInformation PermissionAdmin1234RRitt8990R WRoot8668R Eweb8965R W EServer Workstation 传送身份验证信息 发起访问请求基于IC卡+PIN号码的身份鉴别验证用户身份回应访问请求，允许访问验证通过读卡器输入PIN号码插入IC卡读取用户信息获得用户信息基于基于CA证书的身份认证证书的身份认证基于CA证书的身份鉴别CA中心中心证书发布服

38、务器证书发布服务器用户证书服务器证书用户证书传送证书给对方用于身份认证服务器证书传送证书给对方用于身份认证开始数字证书的签名验证开始数字证书的签名验证查找共同可信的CA查询黑名单验证都通过查找共同可信的CA 查询黑名单验证通过开始安全通讯需要的安全技术产品需要的安全技术产品CA安全身份认证体系安全身份认证体系防火墙技术防火墙技术/VPN技术技术防病毒体系防病毒体系入侵检测技术入侵检测技术网络安全评估系统网络安全评估系统安全备份和系统灾难恢复安全备份和系统灾难恢复VPN的基本技术的基本技术InternetInternet开放互联网络的带来的安全风险开放互联网络的带来的安全风险路由器内部网Web、

39、Mail服务器等因特网入侵者攻击路由器 进行窃听分支机构正常的通信流为什么我工资比他少500他们的标书拿到了又攻破了一个站点内部人员使用监听工具窃听VPN 最大优势最大优势-投资回报投资回报 大幅度减少电信服务费用，尤其针对地域上分散的公司和企业大幅度减少电信服务费用，尤其针对地域上分散的公司和企业大幅度减少电信服务费用，尤其针对地域上分散的公司和企业大幅度减少电信服务费用，尤其针对地域上分散的公司和企业 针对远程拨号上网访问的用户，省去了每个月的电信费用针对远程拨号上网访问的用户，省去了每个月的电信费用针对远程拨号上网访问的用户，省去了每个月的电信费用针对远程拨号上网访问的用户，省去了每个月

40、的电信费用 采用采用采用采用VPN,VPN,公司公司公司公司/企业中当前使用的企业中当前使用的企业中当前使用的企业中当前使用的Modem PoolModem Pool将永远退休将永远退休将永远退休将永远退休到到到到20022002年，按企业年，按企业年，按企业年，按企业/组织规模大小，实施组织规模大小，实施组织规模大小，实施组织规模大小，实施VPNVPN比例将达到：比例将达到：比例将达到：比例将达到：57%-大型企业大型企业大型企业大型企业55%-中心企业中心企业中心企业中心企业51%-小型企业小型企业小型企业小型企业 来源:Infonetics Research安全的，统一的通信安全的，统一

41、的通信移动移动用户用户分分支机构支机构网站网站合作合作伙伴伙伴VPNVPNVPN(Virtual VPN(Virtual Private Private Network)Network)它它它它指指指指的的的的是是是是以以以以公公公公用用用用开开开开放放放放的的的的网网网网络络络络(如如如如Internet)Internet)作作作作为为为为基基基基本本本本传传传传输输输输媒媒媒媒体体体体，通通通通过过过过加加加加密密密密和和和和验验验验证证证证网网网网络络络络流流流流量量量量来来来来保保保保护护护护在在在在公公公公共共共共网网网网络络络络上上上上传传传传输输输输的的的的私私私私有有有有信信信

42、信息息息息不不不不会会会会被被被被窃窃窃窃取取取取和和和和篡篡篡篡改改改改，从从从从而而而而向向向向最最最最终终终终用用用用户户户户提提提提供供供供类类类类似似似似于于于于私私私私有有有有网网网网络络络络(Private(Private Network)Network)性性性性能能能能的的的的网网网网络络络络服服服服务务务务技术。技术。技术。技术。远程访问Internet内部网分支机构虚拟私有网虚拟私有网虚拟私有网合作伙伴v 数据机密性保护数据机密性保护v 数据完整性保护数据完整性保护v 数据源身份认证数据源身份认证VPN作用数据机密性保护数据机密性保护拨号服务器拨号服务器PSTNPSTN I

43、nternet Internet 区域区域InternetInternet边界路由器边界路由器内部工作子网内部工作子网管理子网一般子网内部WWW重点子网下属机构下属机构DDN/FRDDN/FRX.25X.25专线专线DMZDMZ区域区域WWW Mail DNS密文密文传输明文传输明文传输内部工作子网内部工作子网管理子网一般子网内部WWW重点子网下属机构下属机构DDN/FRDDN/FRX.25X.25专线专线原始数据包对原始数据包进行Hash加密后的数据包加密后的数据包摘要摘要Hash摘要摘要对原始数据包进行加密加密后的数据包加密后的数据包加密加密后的数据包加密后的数据包摘要摘要加密后的数据包加

44、密后的数据包摘要摘要摘要摘要解密原始数据包Hash原始数据包与原摘要进行比较，验证数据的完整性数据完整性保护数据完整性保护数据源身份认证数据源身份认证内部工作子网内部工作子网管理子网一般子网内部WWW重点子网下属机构下属机构DDN/FRDDN/FRX.25X.25专线专线原始数据包对原始数据包进行HashHash摘要摘要加密摘要摘要摘要摘要取出DSS原始数据包Hash原始数据包两摘要相比较私钥原始数据包DSSDSS将数字签名附在原始包后面供对方验证签名得到数字签名原始数据包DSS原始数据包DSSDSS解密相等吗？验证通过远程访问远程访问 VPN提供通过提供通过提供通过提供通过InternetI

45、nternet访问公司网络内部资源的方法访问公司网络内部资源的方法访问公司网络内部资源的方法访问公司网络内部资源的方法降低了长途、大型降低了长途、大型降低了长途、大型降低了长途、大型Modem PoolModem Pool和技术支持的费用和技术支持的费用和技术支持的费用和技术支持的费用公司总部站点公司总部站点InternetInternet远程或移动用户远程或移动用户端到端端到端 VPN利用利用利用利用InternetInternet安全连接多个分支机构安全连接多个分支机构安全连接多个分支机构安全连接多个分支机构减少对帧中继减少对帧中继减少对帧中继减少对帧中继 和租用线路的依靠和租用线路的依靠

46、和租用线路的依靠和租用线路的依靠公司总部站点公司总部站点InternetInternet分支机构站点分支机构站点内部网内部网 VPN向商业合作伙伴提供对内部重要数据的访问向商业合作伙伴提供对内部重要数据的访问(销售信息、工具软件等等销售信息、工具软件等等)减少了事务处理和操作中的费用减少了事务处理和操作中的费用公司总部站点公司总部站点InternetInternet合作伙伴站点合作伙伴站点VPN的组成的组成加密加密消息认证消息认证实体认证实体认证密钥管理密钥管理Point-to-Point Tunneling Protocol 第二层隧道协议提供第二层隧道协议提供第二层隧道协议提供第二层隧道协

47、议提供PPTPPPTP客户机和客户机和客户机和客户机和PPTPPPTP服务器之间的加服务器之间的加服务器之间的加服务器之间的加密通信密通信密通信密通信 Point-to-Point Protocol(PPP)Point-to-Point Protocol(PPP)协议的扩展协议的扩展协议的扩展协议的扩展 允许封装多种协议：允许封装多种协议：允许封装多种协议：允许封装多种协议：TCP/IPTCP/IP、IPXIPX等等等等 使用使用使用使用RSARSA公司的公司的公司的公司的RC4RC4加密方法，但不进行隧道验证加密方法，但不进行隧道验证加密方法，但不进行隧道验证加密方法，但不进行隧道验证 用户

48、需要在客户端配置用户需要在客户端配置用户需要在客户端配置用户需要在客户端配置PPTPPPTPInternetRemote PPTP ClientISP Remote AccessSwitchPPTP RAS ServerCorporate NetworkLayer 2 Tunneling Protocol(L2TP)第二层第二层第二层第二层 隧道协议隧道协议隧道协议隧道协议结合并扩展了结合并扩展了结合并扩展了结合并扩展了 PPTPPPTP和和和和L2F(Cisco supported L2F(Cisco supported protocol)protocol)对隧道进行验证，但对传输中的数据不

49、加密对隧道进行验证，但对传输中的数据不加密对隧道进行验证，但对传输中的数据不加密对隧道进行验证，但对传输中的数据不加密没有包括数据包的验证、数据完整性和密钥管理没有包括数据包的验证、数据完整性和密钥管理没有包括数据包的验证、数据完整性和密钥管理没有包括数据包的验证、数据完整性和密钥管理InternetRemote L2TP ClientISP L2TP ConcentratorL2TP ServerCorporate NetworkInternet Protocol Security(IPSec)第三层隧道协议（远程访问、内部网络和第三层隧道协议（远程访问、内部网络和Extranet VPN）

50、Internet VPN标准标准一个协议包（一个协议包（AH、ESP及密钥管理协议）及密钥管理协议）提供灵活的加密、消息验证和数据完整的技提供灵活的加密、消息验证和数据完整的技术术包括密钥管理包括密钥管理IPSec VPN的组成的组成加密加密消息认证消息认证 实体认证实体认证密钥交换密钥交换DES,3DES,RC5,RC4DES,3DES,RC5,RC4HMAC-MD5,HMAC-HMAC-MD5,HMAC-SHA-1,or othersSHA-1,or othersDigital Certificates,Digital Certificates,Shared Secrets,Hybrid